De dag van de privacy is in 2007 in het leven geroepen door de Raad van Europa, met als doel om Europese burgers beter te informeren over het gebruik van hun persoonsgegevens door overheden en andere organisaties. Slaapt u al?  

Privacy, Europa, blabla. Onderwerpen die nogal de naam hebben om saai en/of overbodig te zijn. We willen vooruit, mensen helpen, mooie dingen bouwen, zeur niet. 
Maar vandaag, 28 januari 2020, op de Dag van de Privacy sta ik er toch even bij stil. Want privacy is relevanter dan ooit. Juist omdat we door willen, mensen beter willen maken, ons werk beter willen doen. Het privacybewustzijn groeit, en wordt in een digitale samenleving alleen maar relevanter om jezelf de vraag te stellen: welke informatie ontsluit ik op welke manier en aan wie? Het aantal privacy klachten is in 2019 met 60% toegenomen.*  

Waar staan we vandaag? Op deze dag van de privacy kijken we terug op een veelbewogen jaar. 2019 was het jaar waarin de Autoriteit Persoonsgegevens kritisch zou gaan kijken naar de zorgTegelijkertijd zou steviger worden ingezet op handhaving van de privacywetgevingDat hebben ze gedaan: er is een last onder dwangsom opgelegd aan verzekeraars**er is nog eens duidelijk uiteengezet hoe anonimiseren moet worden toegepast*** en de eerste grote boete is opgelegd.  

Tot halverwege het jaar vroeg iedereen zich af waar divoorbeeldstellende boete zou vallen. Het Haga Ziekenhuis viel de twijfelachtige eer ten deel, vanwege tekortkomingen in de interne beveiliging van patiëntendossiers. Het ziekenhuis had in april melding gedaan van een datalek wegens onrechtmatige inzage in een patiëntendossier, waarna de AP een onderzoek startte. 
In het boetebesluit zet de AP nog eens op een rijtje hoe het ook al weer zit met de beveiligingseisen onder de AVG: organisaties moeten passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen, zowel tegen de dreiging van buiten (een issue wat nu met de Citrix problematiek actueel is) maar ook tegen ongeoorloofde toegang van binnenuit. Met een verwijzing naar de vertrouwelijkheid van de relatie tussen behandelaar en patiënt wordt zwaar gewogen aan die interne beveiligingsmaatregelen. Voor goede zorgverlening is het nodig dat de behandelaar toegang heeft tot relevante informatie. Ook als dat ad hoc is, of als een collega de behandeling overneemt. Tegelijkertijd wil je voorkomen dat álle medewerkers van een zorginstelling in het medische dossier kunnen neuzen.  

De focus vanuit de AP en het toenemende bewustzijn van burgers hebben ertoe geleid dat privacy in de zorg steeds meer onderdeel wordt van de standaard. Natuurlijk, soms is het lastig. Als zorgverlener zul je vaker moeten inloggen met je naam, wachtwoord en tokenAls consultant zul je steeds een persoonlijk account moeten aanvragen om bij een zorginstelling aan de slag te kunnen gaan. Loop je als ontwikkelaar weg van je plek, dan lock je je scherm. Bouw je een nieuwe functie in je ECD, dan zul je rekening moeten houden met de mogelijkheid dat patiënten hun gegevens willen inzien, wijzigen of verwijderen, en dat zorginstellingen de logging van alle handelingen in een dossier moeten kunnen analyseren. De AVG stelt geen gekke eisen, met gezond verstand is best te beredeneren wat wel en niet acceptabel is.  

In 2007 is de Dag van de privacy bedacht om aandacht te vragen voor het onderwerp. Anno 2030 is het misschien niet meer nodig, dan zit het zó in ons systeem dat we het niet eens meer opmerken.   

Deze blog is geschreven door Dieke Brockhus, Privacy Officer bij PinkRoccade Healthcare. 

* https://autoriteitpersoonsgegevens.nl/nl/nieuws/sterke-toename-van-privacyklachten
** https://autoriteitpersoonsgegevens.nl/nl/nieuws/sancties-voor-menzis-en-vgz-voor-overtreding-van-de-privacywet
***https://autoriteitpersoonsgegevens.nl/nl/nieuws/berisping-voor-akwa-ggz-na-overnemen-rom-data

 

Share This